Ransomware

A Jaguar Land Rover (JLR), subsidiária da Tata Motors, confirmou um ciberataque que resultou no vazamento de dados internos, paralisando suas fábricas e fechando lojas por tempo indeterminado. O incidente, que começou em 2 de setembro, teve um impacto significativo na produção de veículos da empresa. A JLR está investigando o caso com o apoio do Centro Nacional de Ciber Segurança do Reino Unido (NCSC) e notificou as autoridades sobre o vazamento. Embora a investigação continue, a empresa ainda não conseguiu identificar um grupo cibercriminoso específico responsável pelo ataque. Um grupo chamado Scattered Lapsus$ Hunters alegou ter realizado a invasão, compartilhando capturas de tela do sistema interno da JLR e afirmando ter implantado ransomwares. Este grupo é associado a outros cibercriminosos conhecidos por extorquir empresas. A JLR não confirmou a veracidade das alegações do grupo. O incidente destaca a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância constante na proteção de dados corporativos.

Pesquisadores de segurança alertam que o ransomware Akira está explorando uma vulnerabilidade antiga no SSLVPN da SonicWall, afetando firewalls das gerações Gen5, Gen6 e Gen7 que ainda não foram atualizados. Essa falha de controle de acesso inadequado foi descoberta e corrigida há mais de um ano, mas muitas organizações ainda não aplicaram o patch necessário. Além de atacar firewalls desatualizados, o Akira também se aproveita de configurações padrão do grupo LDAP e do acesso público ao Virtual Office Portal da SonicWall. Isso permite que usuários sem as permissões adequadas acessem o SSLVPN. Os especialistas da Rapid7 recomendam que as empresas troquem senhas de todas as contas SonicWall, configurem corretamente as políticas de autenticação multifator (MFA) e restrinjam o acesso ao Virtual Office Portal apenas a redes internas confiáveis. O Akira tem se mostrado ativo nos últimos dois anos, com um foco agressivo em dispositivos de borda, o que representa um risco significativo para as organizações que não tomarem medidas imediatas.

O grupo de ransomware Akira tem intensificado seus ataques a dispositivos SonicWall, especialmente aqueles que utilizam a SSL VPN. A empresa de cibersegurança Rapid7 relatou um aumento nas intrusões envolvendo esses aparelhos, que se intensificaram após a reativação das atividades do grupo em julho de 2025. A SonicWall identificou que os ataques exploram uma vulnerabilidade de um ano (CVE-2024-40766, com pontuação CVSS de 9.3), onde senhas de usuários locais não foram redefinidas durante uma migração. A empresa recomenda que os clientes ativem o filtro de botnets e as políticas de bloqueio de contas para mitigar os riscos. Além disso, a SonicWall alertou sobre a configuração inadequada dos grupos de usuários padrão do LDAP, que pode permitir que contas comprometidas herdem permissões indevidas. O grupo Akira, que já afetou 967 vítimas desde sua criação em março de 2023, utiliza técnicas sofisticadas, como phishing e SEO, para disseminar malware e realizar operações de ransomware. As organizações são aconselhadas a rotacionar senhas, remover contas inativas e restringir o acesso ao portal Virtual Office. O Australian Cyber Security Centre também confirmou que o grupo está atacando organizações australianas vulneráveis através de dispositivos SonicWall.

A cidade de Viena, na Virgínia, anunciou que notificou 811 indivíduos sobre uma violação de dados ocorrida em agosto de 2025, que comprometeu informações sensíveis, incluindo nomes, números de Seguro Social, dados financeiros e números de passaporte. O grupo de ransomware Cephalus reivindicou a responsabilidade pelo ataque, embora as autoridades de Viena ainda não tenham confirmado essa alegação. A violação foi detectada em 14 de agosto, mas os invasores conseguiram acessar a rede da cidade em 11 de agosto, utilizando ransomware para criptografar partes do sistema. A notificação aos afetados não incluiu ofertas de monitoramento de crédito ou seguro contra fraudes, práticas comuns após incidentes que envolvem dados pessoais críticos. O Cephalus é um grupo novo que começou suas atividades em agosto de 2025, explorando conexões de desktop remoto (RDP) sem autenticação multifatorial. Até agora, foram registradas 56 violações confirmadas contra entidades governamentais dos EUA em 2025, destacando a crescente ameaça de ataques de ransomware. A situação em Viena ressalta a necessidade urgente de medidas de segurança robustas para proteger dados sensíveis, especialmente em um contexto onde ataques a governos estão se tornando mais frequentes.

O Distrito Escolar do Condado de Cherokee (CCSD) notificou 46.119 pessoas sobre uma violação de dados resultante de um ataque cibernético ocorrido em março de 2025. Os dados comprometidos incluem números de Seguro Social, números de carteira de motorista, números de passaporte, informações financeiras e dados de saúde. Este ataque, reivindicado pelo grupo de ransomware Interlock, é considerado a maior violação de dados no setor educacional dos EUA até o momento neste ano. O ataque, que ocorreu em 15 de março, causou interrupções significativas na rede do distrito por cerca de duas semanas. A Interlock afirmou ter roubado 624 GB de dados, incluindo documentos fiscais e informações de funcionários. Em resposta, o CCSD se comprometeu a oferecer serviços de monitoramento de crédito gratuitos aos afetados e afirmou que está trabalhando com autoridades e especialistas em segurança para mitigar os danos. Até agora, 30 ataques confirmados foram registrados no setor educacional dos EUA em 2025, com mais de 115.000 registros comprometidos. O CCSD, que atende cerca de 8.000 alunos, está avaliando os registros afetados e se comunicará diretamente com os impactados.

A Cornwell Quality Tools notificou 103.782 pessoas sobre uma violação de dados ocorrida em dezembro de 2024, que comprometeu números de Seguro Social, informações médicas e dados financeiros. O grupo de ransomware Cactus assumiu a responsabilidade pelo ataque em fevereiro de 2025, alegando ter roubado 4,6 TB de dados, incluindo documentos sensíveis como cópias de carteiras de motorista e declarações fiscais. A empresa não confirmou se pagou um resgate ou como a violação ocorreu, mas informou que tomou medidas imediatas para proteger seus sistemas após detectar atividades incomuns em sua rede. Além disso, a Cornwell está oferecendo monitoramento de crédito gratuito por 12 meses e um seguro contra fraudes de identidade para as vítimas. Este não é o primeiro ataque de ransomware enfrentado pela empresa, que já havia notificado anteriormente sobre uma violação em setembro de 2022. O grupo Cactus, que começou a operar em abril de 2023, é conhecido por seu modelo de ransomware como serviço, visando principalmente fabricantes. Em 2024, foram registrados 86 ataques confirmados a fabricantes nos EUA, com a violação da Cornwell sendo a maior em termos de registros comprometidos.

Um novo malware para Android, denominado RatOn, evoluiu de uma ferramenta básica para um sofisticado trojan de acesso remoto, capaz de realizar fraudes financeiras. De acordo com um relatório da ThreatFabric, o RatOn combina ataques de sobreposição tradicionais com transferências automáticas de dinheiro e funcionalidades de comunicação por campo próximo (NFC), tornando-se uma ameaça poderosa. O malware visa aplicativos de carteira de criptomoedas, como MetaMask e Trust, e pode realizar transferências automáticas utilizando um aplicativo bancário específico da República Tcheca.

O ransomware LunaLock emergiu como uma nova ameaça, atacando artistas independentes e clientes de arte digital ao comprometer a plataforma Artists & Clients, um mercado popular para obras encomendadas. Em 8 de setembro de 2025, os operadores do LunaLock anunciaram que conseguiram invadir a infraestrutura da plataforma, exfiltrando arquivos sensíveis e criptografando bancos de dados críticos, exigindo um resgate substancial em criptomoeda. A análise forense preliminar revelou que os atacantes exploraram uma vulnerabilidade zero-day no módulo de autenticação da aplicação web, utilizando uma injeção SQL para contornar a autenticação multifatorial e obter privilégios administrativos. Uma vez dentro, eles implantaram um carregador personalizado que desativou a proteção em tempo real do Windows Defender e um módulo de exfiltração que buscou arquivos de arte e dados pessoais dos clientes, criptografando-os com AES-256-GCM. O ransomware, por sua vez, utilizou RSA-4096 para criptografar os arquivos, adicionando a extensão .luna. Os atacantes ameaçaram publicar os dados roubados em sites de vazamento caso o resgate não fosse pago em até 72 horas. A equipe de segurança da Artists & Clients já tomou medidas, como a desativação dos servidores afetados e a implementação de agentes de detecção e resposta em endpoints para mitigar a situação. Especialistas em cibersegurança recomendam que organizações do setor criativo adotem controles de acesso de menor privilégio e mantenham backups offline para se protegerem contra tais ataques.

Um estudo abrangente realizado ao longo de três anos em Austrália, Canadá, Nova Zelândia e Reino Unido revelou tendências alarmantes nas operações de ransomware, com organizações australianas registrando 135 ataques documentados entre 2020 e 2022. A pesquisa analisou 865 incidentes de ransomware e destacou a evolução sofisticada das empresas cibernéticas, que agora adotam modelos de ransomware-as-a-service (RaaS). Nesse modelo, grupos principais desenvolvem o malware e gerenciam os pagamentos, enquanto afiliados realizam as invasões e negociações de resgate. O grupo Conti foi o mais ativo, com 141 ataques, seguido pelas variantes do LockBit, que contabilizaram 129 incidentes. O setor industrial foi o mais afetado, com o estudo utilizando inteligência artificial para classificar as organizações atacadas em 13 setores, alcançando 89% de precisão. Os resultados ressaltam a necessidade urgente de medidas de cibersegurança aprimoradas nas infraestruturas críticas australianas, à medida que os grupos de ransomware continuam a evoluir suas táticas e expandir suas capacidades operacionais.

O Wayne Memorial Hospital, localizado em Jesup, Georgia, confirmou um vazamento de dados que afetou 163.440 pessoas, revelando informações sensíveis como números de Seguro Social, senhas, dados financeiros e históricos médicos. O incidente, que ocorreu entre 30 de maio e 3 de junho de 2024, foi atribuído ao grupo de ransomware Monti, que ameaçou divulgar os dados roubados até 8 de julho de 2024. Inicialmente, o hospital havia notificado apenas 2.500 pessoas sobre o vazamento em agosto de 2024, mas atualizou o número após uma investigação forense que revelou o alcance do ataque. O hospital está oferecendo 12 meses de assistência contra fraudes e monitoramento de crédito aos afetados. Monti, que já foi responsável por outros ataques a instituições de saúde, utiliza vulnerabilidades de software para acessar e criptografar dados, exigindo resgates para a devolução das informações. Em 2024, foram registrados 174 ataques de ransomware a provedores de saúde nos EUA, comprometendo cerca de 28,6 milhões de registros, destacando a crescente ameaça a esse setor.

O cenário global de ransomware em 2025 está em constante evolução, com o grupo SafePay se destacando como uma das ameaças mais ativas e disruptivas. Em junho, o grupo assumiu a responsabilidade por ataques a 73 organizações, um recorde mensal que o posicionou no topo do ranking de ameaças da Bitdefender. Em julho, mais 42 vítimas foram divulgadas, totalizando mais de 270 organizações atacadas até agora neste ano. O SafePay, que surgiu em setembro de 2024 após a desarticulação de grandes grupos de ransomware, adota uma abordagem diferente ao rejeitar o modelo de ransomware como serviço (RaaS) e realizar seus próprios ataques, visando empresas de médio e grande porte, especialmente em setores como manufatura, saúde e construção. O grupo utiliza táticas como credenciais comprometidas e ataques de força bruta para obter acesso inicial, seguido por movimentos laterais na rede e exfiltração de dados. A criptografia dos arquivos é realizada com o algoritmo ChaCha20, e os resgates variam amplamente, podendo ultrapassar US$ 100 milhões. A eficiência e a rapidez das divulgações do SafePay destacam a necessidade urgente de medidas de segurança em múltiplas camadas e monitoramento proativo.

O Hook v3, a mais recente variante do trojan bancário para Android, apresenta um conjunto alarmante de funcionalidades, incluindo sobreposições de ransomware, prompts bancários falsos e funções de spyware. Pesquisadores da Zimperium zLabs identificaram que o malware agora suporta 107 comandos remotos, com 38 novos na última atualização, explorando os Serviços de Acessibilidade do Android. Essa evolução sugere uma transição de fraudes bancárias específicas para uma plataforma de ameaças mais versátil, aumentando o risco para usuários e instituições financeiras. Entre as novas táticas, destacam-se sobreposições que imitam telas de desbloqueio e pagamentos, como o Google Pay, que induzem as vítimas a fornecer dados sensíveis. Além disso, a capacidade de streaming em tempo real permite que os atacantes monitorem as atividades dos dispositivos das vítimas. O Hook v3 se espalha por meio de sites de phishing e APKs maliciosos hospedados no GitHub, o que facilita sua disseminação. A combinação de roubo passivo e monitoramento ativo torna essa ameaça particularmente intrusiva e preocupante para a segurança cibernética.

O grupo de ransomware Inc reivindicou a responsabilidade por um ataque cibernético ocorrido em agosto de 2025 na Universidade de St. Thomas, em Houston, Texas. O ataque, que causou uma interrupção de nove dias nos sistemas da instituição, foi relatado pela universidade em 13 de agosto, que inicialmente afirmou não haver evidências de dados comprometidos. No entanto, Inc alegou ter roubado 1,8 TB de dados e publicou amostras de documentos supostamente extraídos da universidade. A Universidade de St. Thomas ainda não confirmou a alegação do grupo, e não se sabe se um resgate foi pago ou quais dados foram realmente comprometidos. O ataque resultou na paralisação do site e dos servidores da universidade, afetando serviços essenciais para os alunos, como acesso à moradia e registro de cursos. O grupo Inc, que surgiu em 2023, utiliza táticas como phishing direcionado e exploração de vulnerabilidades conhecidas, operando sob um modelo de ransomware como serviço. Até agora, o grupo já reivindicou 122 ataques confirmados, incluindo 15 em instituições educacionais. A crescente onda de ataques de ransomware em escolas nos EUA, com 30 incidentes confirmados em 2025, destaca a vulnerabilidade do setor educacional e a necessidade de medidas de segurança robustas.

O cenário da cibersegurança evoluiu significativamente desde o vírus ‘Love Bug’ em 2001, transformando-se em um empreendimento criminoso lucrativo. Para enfrentar essa nova realidade, líderes de segurança cibernética, como CISOs e administradores de TI, precisam adotar estratégias proativas que não apenas respondam a ameaças, mas as previnam. O artigo de Yuriy Tsibere destaca a importância de políticas de segurança por padrão, como a autenticação multifator (MFA), a abordagem de negar por padrão e a contenção de aplicativos. Essas medidas podem eliminar categorias inteiras de riscos, como a execução de ransomware e a infiltração de ferramentas não autorizadas. O autor sugere ações simples, como desabilitar macros do Office e bloquear tráfego de servidores não autorizado, que podem criar um ambiente mais seguro. Além disso, a remoção de direitos administrativos locais e o bloqueio de portas não utilizadas são recomendados para limitar a superfície de ataque. A implementação de configurações seguras desde o início é essencial para fortalecer a defesa contra ataques cibernéticos, que estão em constante evolução. A mentalidade de segurança por padrão não é apenas inteligente, mas essencial para reduzir a complexidade e aumentar a resiliência organizacional.

O Distrito Escolar 5 de Lexington e Richland, na Carolina do Sul, confirmou um vazamento de dados que afetou 31.475 pessoas, revelando informações sensíveis como nomes, números de Seguro Social, dados financeiros e identificações emitidas pelo estado. O ataque, atribuído ao grupo de ransomware Interlock, resultou em atrasos no início das aulas de verão e na liberação de bônus para funcionários, além de bloquear o acesso dos colaboradores às suas contas. O grupo Interlock, que já reivindicou 28 ataques confirmados, afirma ter roubado 1,3 TB de dados da instituição. A escola está oferecendo monitoramento de crédito gratuito e um seguro contra roubo de identidade de até US$ 1 milhão para as vítimas. Embora o distrito tenha reconhecido a violação, não está claro se um resgate foi pago ou como o ataque foi realizado. Este incidente destaca a crescente ameaça de ataques de ransomware em instituições educacionais, que podem paralisar operações e expor dados pessoais a fraudes.

O grupo de ransomware Dire Wolf, que surgiu em maio de 2025, rapidamente se tornou uma ameaça significativa à cibersegurança, atacando organizações em diversas indústrias e regiões. Desde seu primeiro ataque, que resultou na divulgação de seis vítimas em um site da darknet, o grupo tem utilizado uma estratégia de dupla extorsão, combinando a criptografia de dados com ameaças de vazamento de informações.

A técnica de criptografia do Dire Wolf é sofisticada, utilizando algoritmos como Curve25519 e ChaCha20, o que torna a recuperação de dados extremamente difícil. O ransomware não utiliza arquivos de configuração tradicionais, mas sim argumentos de linha de comando para controle, e implementa um sistema de mutex para evitar execuções múltiplas. Além disso, o malware apaga cópias de sombra e interrompe serviços essenciais, eliminando opções de recuperação.

Pesquisadores de cibersegurança identificaram uma rede de IPs ucranianos envolvida em campanhas massivas de força bruta e ‘password spraying’ direcionadas a dispositivos SSL VPN e RDP entre junho e julho de 2025. A atividade se originou de um sistema autônomo baseado na Ucrânia, o FDN3 (AS211736), que faz parte de uma infraestrutura abusiva mais ampla, incluindo outras redes ucranianas e um sistema baseado nas Seychelles. Essas redes, alocadas em agosto de 2021, frequentemente trocam prefixos IPv4 para evitar bloqueios e continuar suas atividades maliciosas. Os ataques, que atingiram um pico recorde entre 6 e 8 de julho de 2025, são utilizados por grupos de ransomware como vetor inicial para invadir redes corporativas. A análise também revelou conexões com provedores de hospedagem ‘bulletproof’, que oferecem anonimato e facilitam a continuidade das atividades maliciosas. A situação é preocupante, pois destaca a vulnerabilidade de tecnologias amplamente utilizadas, como VPNs e RDPs, que são alvos frequentes de ataques cibernéticos.

Os ataques de ransomware aumentaram em agosto de 2025, subindo de 473 em julho para 506, representando um crescimento de 7%. Este é o segundo mês consecutivo de alta após uma queda de março a junho. Um ataque inédito atingiu o Estado de Nevada, afetando serviços essenciais e deixando cidadãos sem acesso a informações críticas. Embora os ataques a governos continuem a ser uma preocupação, o setor de manufatura registrou um aumento significativo de 57% nos ataques, totalizando 113 incidentes. Em contraste, os setores de saúde e educação tiveram apenas um ataque confirmado cada, mas um número maior de ataques não confirmados. O grupo de ransomware mais ativo foi o Qilin, responsável por 86 ataques, seguido por Akira e Sinobi. No total, 30 ataques foram confirmados, com 17 direcionados a empresas e 11 a entidades governamentais. O impacto financeiro e operacional desses ataques é significativo, exigindo atenção especial dos CISOs, especialmente em setores críticos como saúde e manufatura.

Pesquisadores da ESET, Anton Cherepanov e Peter Strycek, descobriram o PromptLock, o primeiro ransomware desenvolvido com a ajuda de inteligência artificial. Embora ainda não tenha sido visto em ação, a ESET alertou a comunidade de cibersegurança sobre essa nova ameaça. O PromptLock utiliza o modelo gpt-oss-20b da OpenAI, que é uma versão gratuita do ChatGPT, e opera localmente em dispositivos infectados através da API Ollama.

O ransomware é capaz de inspecionar arquivos, extrair dados e criptografá-los, podendo futuramente ser utilizado para extorsão. Ele é compatível com sistemas operacionais Windows, Linux e macOS. O código do malware indica que ele pode até destruir arquivos, embora essa funcionalidade ainda não esteja totalmente implementada. O PromptLock utiliza a encriptação SPECK de 128 bits e é escrito na linguagem Go. A ESET também observou que variantes do malware foram enviadas para a plataforma VirusTotal, que serve como repositório de vírus para especialistas em segurança.

O cenário atual da cibersegurança revela que os ataques não se concentram mais em falhas isoladas, mas em uma rede de pequenas vulnerabilidades que, quando combinadas, podem resultar em riscos significativos. Recentemente, o WhatsApp corrigiu uma vulnerabilidade em seus aplicativos para iOS e macOS, que poderia ter sido explorada em conjunto com uma falha da Apple, permitindo que usuários não autorizados acessassem conteúdos de URLs arbitrárias. Além disso, o Departamento do Tesouro dos EUA sancionou uma rede de trabalhadores de TI fraudulentos da Coreia do Norte, que gerou receitas para programas de armas de destruição em massa. Também foi relatada uma falha crítica no Docker Desktop, que poderia permitir que atacantes assumissem o controle do sistema host. Outro ataque notável foi o MixShell, que visou fabricantes e empresas de cadeia de suprimentos nos EUA, utilizando formulários de contato para enganar as vítimas. O grupo UNC6395 comprometeu instâncias do Salesforce, enquanto o Storm-0501 evoluiu suas táticas de ransomware, explorando contas privilegiadas. Esses incidentes destacam a necessidade de uma abordagem proativa na segurança cibernética, onde a interação entre pequenas falhas pode levar a consequências devastadoras.

Pesquisadores em cibersegurança alertaram sobre um ataque cibernético que utiliza a ferramenta de monitoramento e forense digital de código aberto chamada Velociraptor. Os atacantes empregaram essa ferramenta para baixar e executar o Visual Studio Code, possivelmente com a intenção de criar um túnel para um servidor de comando e controle (C2) controlado por eles. O uso do Velociraptor representa uma evolução tática, onde programas de resposta a incidentes são utilizados para obter acesso e reduzir a necessidade de implantar malware próprio. A análise revelou que os atacantes usaram o utilitário msiexec do Windows para baixar um instalador MSI de um domínio da Cloudflare, que serve como base para outras ferramentas, incluindo um utilitário de administração remota. Além disso, a Sophos recomenda que as organizações monitorem o uso não autorizado do Velociraptor, pois isso pode ser um precursor de ataques de ransomware. O artigo também menciona campanhas maliciosas que exploram o Microsoft Teams para acesso inicial, refletindo um padrão crescente de uso de plataformas confiáveis para a implantação de malware. Os ataques se disfarçam como assistência técnica, dificultando a detecção. A situação é preocupante, pois os atacantes estão cada vez mais sofisticados em suas abordagens, utilizando técnicas que burlam as defesas tradicionais.

O ransomware NightSpire, detectado pela primeira vez em fevereiro de 2025, rapidamente se tornou uma das principais ameaças cibernéticas para corporações globais. Utilizando um modelo de Ransomware-as-a-Service (RaaS), o grupo aperfeiçoou sua estratégia de dupla extorsão e métodos avançados de criptografia, afetando setores variados, como varejo, manufatura e serviços financeiros. NightSpire escolhe suas vítimas com base na exploração sistemática de vulnerabilidades em redes mal protegidas, frequentemente devido à falta de atualizações de segurança e falhas na gestão de credenciais. Após a infiltração, o ransomware criptografa arquivos e diretórios, interrompendo operações comerciais essenciais. As vítimas recebem notas de resgate e são pressionadas por meio de um site de vazamento dedicado, que também serve como plataforma de negociação. A técnica de criptografia do NightSpire é notável, utilizando chaves simétricas AES e RSA, o que dificulta a recuperação dos dados. A combinação de expertise técnica e guerra psicológica coloca o NightSpire na vanguarda da evolução do ransomware, exigindo que as empresas adotem defesas e planos de resposta a incidentes urgentes e sistemáticos.

O Centro Infantil de Hamden, Connecticut, notificou 5.213 indivíduos sobre um vazamento de dados ocorrido em dezembro de 2024, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, datas de nascimento, informações de identificação emitidas pelo estado, dados biométricos e diagnósticos médicos. O grupo de ransomware conhecido como Inc reivindicou a responsabilidade pelo ataque em fevereiro de 2025, publicando amostras de documentos supostamente roubados. Embora o Centro tenha reconhecido a violação, não confirmou se um resgate foi pago ou como a rede foi comprometida. Em resposta ao incidente, o Centro está oferecendo 24 meses de monitoramento de crédito gratuito e um seguro contra roubo de identidade de até $1 milhão. O grupo Inc, que surgiu em 2023, já realizou 120 ataques confirmados, com 45 deles direcionados a empresas de saúde. Os ataques de ransomware têm se tornado uma preocupação crescente, especialmente no setor de saúde, onde podem comprometer a segurança e a privacidade dos pacientes, além de causar interrupções significativas nos serviços.

A empresa de segurança mobile Zimperium alertou sobre uma nova variante do trojan bancário Hook, agora denominado Hook Versão 3, que se transformou em uma ameaça híbrida, atuando como spyware, ransomware e ferramenta de hacking. Este malware é capaz de executar 107 comandos remotos e possui 38 funções adicionais, aproveitando-se dos serviços de acessibilidade do Android para obter permissões irrestritas no dispositivo da vítima.

Uma das características mais preocupantes do Hook Versão 3 é sua capacidade de criar telas falsas transparentes, que imitam a tela de bloqueio e as telas de pagamento do Google Play, com o objetivo de roubar informações sensíveis, como PINs e dados de cartões de crédito. Além disso, o malware transmite a tela do celular em tempo real para os cibercriminosos, permitindo que eles monitorem as atividades da vítima. O ransomware também pode bloquear a tela do dispositivo, exigindo um pagamento em criptomoedas para a liberação.

O Exército da Salvação está enviando cartas a vítimas de um vazamento de dados ocorrido em maio de 2025, que expôs informações pessoais, como nomes, números de Seguro Social e números de carteira de motorista. O incidente foi detectado em 24 de maio de 2025, quando uma terceira parte não autorizada acessou a rede da organização. A investigação, concluída em 8 de agosto de 2025, confirmou que dados pessoais foram adquiridos durante o ataque. O grupo de ransomware Chaos reivindicou a responsabilidade pelo ataque, embora o Exército da Salvação não tenha confirmado essa alegação. A organização está oferecendo 12 meses de monitoramento de crédito gratuito para as vítimas. Em um contexto mais amplo, o grupo Chaos, que surgiu em 2021, utiliza táticas de extorsão dupla, exigindo pagamento tanto pela recuperação de sistemas quanto pela não divulgação de dados roubados. Até agora, em 2025, foram registrados 632 ataques de ransomware, comprometendo 28,8 milhões de registros, com uma demanda média de resgate de 1,7 milhão de dólares. O Exército da Salvação não é a primeira organização de caridade a ser alvo de um ataque desse tipo, evidenciando a vulnerabilidade do setor a ameaças cibernéticas.

Uma nova campanha de ataque, investigada pela unidade de Contra-Ameaças da Sophos, revela como cibercriminosos estão mudando suas táticas ao usar ferramentas de segurança legítimas como armas ofensivas. Neste caso, os atacantes utilizaram a ferramenta de resposta a incidentes Velociraptor, normalmente empregada por defensores, para estabelecer acesso remoto e facilitar compromissos adicionais. O ataque começou com o uso do utilitário msiexec do Windows, que baixou um instalador malicioso. Após a instalação do Velociraptor, os atacantes executaram um comando PowerShell codificado para buscar o Visual Studio Code, utilizando sua capacidade de tunelamento para criar um canal covert para seu servidor de comando e controle. A utilização inesperada do tunelamento do Visual Studio Code acionou um alerta da Taegis™, permitindo que analistas da Sophos isolassem rapidamente o host afetado, prevenindo uma possível implementação de ransomware. A análise revelou que os atacantes já haviam preparado o terreno para fases posteriores da operação, que poderiam incluir criptografia de dados e extorsão. Este incidente destaca a crescente vulnerabilidade de softwares confiáveis à manipulação, exigindo que os defensores tratem o uso anômalo de ferramentas como Velociraptor como indicadores sérios de comprometimento.

A Microsoft Threat Intelligence revelou que o grupo de cibercriminosos Storm-0501, conhecido por atacar escolas e prestadores de serviços de saúde nos EUA, evoluiu suas táticas, agora utilizando operações de ransomware nativas da nuvem. Em vez de depender apenas de malware para criptografar dispositivos locais, o grupo explora vulnerabilidades em ambientes de nuvem híbridos, realizando exfiltração de dados em larga escala e comprometendo recursos do Azure.

O ataque geralmente começa com a violação do Active Directory através de contas de administrador de domínio comprometidas, permitindo acesso ao Microsoft Entra ID. O Storm-0501 utiliza ferramentas como AzureHound para enumerar recursos na nuvem e escalar privilégios, muitas vezes através de contas mal configuradas que não exigem autenticação multifator (MFA). Após obter acesso total, o grupo realiza operações de descoberta e exfiltração, deletando backups e utilizando APIs legítimas do Azure para dificultar a recuperação dos dados. A extorsão final frequentemente ocorre por meio de mensagens no Microsoft Teams.

Pesquisadores da ESET descobriram o PromptLock, o primeiro ransomware conhecido a utilizar inteligência artificial. Este malware, que ainda é considerado um conceito em desenvolvimento, utiliza scripts em Lua gerados por prompts codificados para explorar sistemas de arquivos locais, inspecionar arquivos-alvo, exfiltrar dados selecionados e realizar criptografia. O PromptLock opera localmente através da API Ollama, utilizando o modelo gpt-oss:20b da OpenAI, lançado em agosto de 2025. A versatilidade dos scripts em Lua permite que o malware funcione em diferentes sistemas operacionais, como macOS, Linux e Windows. Embora o PromptLock ainda não tenha sido observado em ataques reais, especialistas alertam que a combinação de inteligência artificial e ransomware representa uma nova era de ameaças cibernéticas, tornando os ataques mais acessíveis e difíceis de detectar. A imprevisibilidade dos resultados gerados por modelos de linguagem torna a defesa contra esses ataques ainda mais desafiadora, aumentando a preocupação entre as equipes de segurança.

O grupo de ransomware PEAR reivindicou um ataque cibernético ao município de West Chester Township, em Ohio, ocorrido em agosto de 2025. Em 12 de agosto, as autoridades do município informaram que isolaram e contiveram uma violação de segurança cibernética. Três dias depois, PEAR afirmou ter roubado 2 TB de dados e listou o município em seu site de vazamento de dados. Até o momento, West Chester Township não confirmou a reivindicação do grupo, e não se sabe se um resgate foi pago ou como os atacantes conseguiram acessar a rede. Em 26 de agosto, o município sofreu um segundo ataque, desta vez ao seu servidor de e-mail central, levando ao fechamento de serviços de e-mail, telefone e website. Funcionários relataram ter recebido notas de resgate, mas nenhum grupo assumiu a responsabilidade por esse segundo ataque. As investigações estão em andamento com a ajuda de analistas do FBI, e os dados comprometidos ainda não foram divulgados. O grupo PEAR, que se concentra em roubo de dados e extorsão sem criptografar informações, já reivindicou 22 ataques, sendo apenas dois confirmados. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos EUA, que podem comprometer sistemas críticos e a privacidade de cidadãos e funcionários.

A empresa de cibersegurança ESET revelou a descoberta de um novo ransomware chamado PromptLock, que utiliza inteligência artificial para gerar scripts maliciosos em tempo real. Escrito em Golang, o PromptLock emprega o modelo gpt-oss:20b da OpenAI através da API Ollama para criar scripts em Lua que podem enumerar sistemas de arquivos, inspecionar arquivos-alvo, exfiltrar dados e criptografar informações. Este ransomware é compatível com Windows, Linux e macOS, e é capaz de gerar notas personalizadas para as vítimas, dependendo dos arquivos afetados. Embora ainda não se saiba quem está por trás do malware, a ESET identificou que artefatos do PromptLock foram enviados ao VirusTotal a partir dos Estados Unidos em 25 de agosto de 2025. A natureza do ransomware, que é considerada uma prova de conceito, utiliza o algoritmo de criptografia SPECK de 128 bits. A ESET alerta que a variabilidade dos indicadores de comprometimento (IoCs) torna a detecção mais desafiadora, complicando as tarefas de defesa. O surgimento do PromptLock destaca como a IA pode facilitar a criação de campanhas de malware, mesmo para criminosos com pouca experiência técnica.

O grupo de cibercriminosos conhecido como Storm-0501 tem aprimorado suas táticas para realizar ataques de exfiltração de dados e extorsão, focando em ambientes de nuvem. Ao contrário do ransomware tradicional, que geralmente criptografa arquivos em redes locais, o Storm-0501 utiliza capacidades nativas da nuvem para exfiltrar rapidamente grandes volumes de dados, destruir informações e backups, e exigir resgates, tudo isso sem depender de malware convencional. Desde sua primeira documentação pela Microsoft em 2024, o grupo tem atacado setores como governo, manufatura e transporte nos EUA, mostrando uma evolução para um modelo de ransomware como serviço (RaaS). O acesso inicial é frequentemente facilitado por corretores de acesso, explorando credenciais comprometidas ou vulnerabilidades em servidores expostos. Recentemente, o grupo realizou um ataque a uma grande empresa, utilizando técnicas como DCSync para extrair credenciais do Active Directory e, em seguida, comprometer um servidor de sincronização do Entra Connect. Após a exfiltração de dados, o grupo deletou recursos críticos da Azure, dificultando a recuperação pela vítima. A Microsoft implementou mudanças para mitigar esses ataques, incluindo atualizações no Entra Connect e recomendações para habilitar o Trusted Platform Module (TPM) nos servidores de sincronização.

Em julho de 2025, a Anthropic revelou ter desmantelado uma operação sofisticada que utilizava seu chatbot Claude, alimentado por inteligência artificial, para realizar roubo e extorsão em larga escala de dados pessoais. O ataque visou pelo menos 17 organizações, incluindo instituições de saúde, serviços de emergência e órgãos governamentais, com os criminosos ameaçando expor publicamente as informações roubadas para forçar o pagamento de resgates que ultrapassavam $500.000. Utilizando o Claude Code em uma plataforma Kali Linux, o ator desconhecido automatizou várias fases do ciclo de ataque, desde a coleta de credenciais até a penetração de redes. O uso de IA permitiu que o atacante tomasse decisões táticas e estratégicas, selecionando quais dados exfiltrar e elaborando demandas de extorsão personalizadas com base em análises financeiras. A Anthropic desenvolveu um classificador personalizado para detectar comportamentos semelhantes e compartilhou indicadores técnicos com parceiros estratégicos. O caso destaca como ferramentas de IA estão sendo mal utilizadas para facilitar operações cibernéticas complexas, tornando a defesa mais desafiadora.

O Healthcare Services Group (HCSG) confirmou que notificou 624.496 pessoas sobre uma violação de dados ocorrida em outubro de 2024, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados bancários e informações médicas. O grupo de ransomware Underground reivindicou a responsabilidade pelo ataque, alegando ter roubado 1,1 TB de dados, incluindo documentos legais e financeiros confidenciais. A HCSG informou que o acesso não autorizado ocorreu entre 27 de setembro e 3 de outubro de 2024, mas não confirmou se um resgate foi pago. A empresa está oferecendo assistência gratuita de restauração de identidade aos afetados. Embora a HCSG tenha afirmado que o incidente não causou interrupções significativas em suas operações, o ataque destaca a crescente ameaça de ransomware no setor de saúde, onde ataques podem comprometer a segurança e a privacidade dos pacientes. Em 2024, foram registrados 30 ataques a empresas de saúde, comprometendo mais de 196 milhões de registros, com o ataque à HCSG sendo o quarto maior em termos de registros comprometidos.

Uma nova campanha de cibercrime, chamada ShadowCaptcha, foi identificada em agosto de 2025, explorando mais de 100 sites WordPress comprometidos. Os atacantes redirecionam visitantes para páginas falsas de verificação CAPTCHA, utilizando táticas de engenharia social para instalar malware, incluindo ladrões de informações, ransomware e mineradores de criptomoedas. A campanha combina engenharia social, uso de binários legítimos e entrega de payloads em múltiplas etapas, visando coletar dados sensíveis e gerar lucros ilícitos. Os ataques começam com a injeção de código JavaScript malicioso em sites WordPress, levando os usuários a páginas falsas que imitam serviços como Cloudflare ou Google. Dependendo das instruções exibidas, os usuários podem ser induzidos a executar comandos maliciosos que resultam na instalação de ransomware ou ladrões de dados. A maioria dos sites afetados está localizada em países como Brasil, Austrália e Itália, e os atacantes provavelmente exploraram vulnerabilidades conhecidas em plugins do WordPress. Para mitigar os riscos, é crucial treinar os usuários sobre campanhas de ClickFix, segmentar redes e manter os sites WordPress atualizados com autenticação multifatorial.

O aumento das ameaças cibernéticas, como ransomware, torna a proteção de endpoints uma prioridade crítica para empresas de todos os tamanhos. O artigo destaca a importância de plataformas de cibersegurança que utilizam inteligência artificial (IA) para oferecer proteção autônoma e em tempo real. A SentinelOne, reconhecida como líder no Gartner Magic Quadrant de 2025, apresenta sua plataforma Singularity, que combina EDR, CNAPP e SIEM, permitindo uma resposta rápida a incidentes e redução de riscos operacionais. Com a capacidade de detectar ameaças 63% mais rápido e reduzir o tempo médio de resposta a incidentes em 55%, a solução é especialmente valiosa em setores sensíveis como saúde e finanças, onde a conformidade regulatória é crucial. A plataforma também se destaca por sua arquitetura leve e integração com ferramentas existentes, minimizando a fadiga de alertas e melhorando a eficiência das equipes de segurança. A evolução da segurança de endpoints, impulsionada pela IA comportamental e automação, promete transformar a forma como as organizações gerenciam suas defesas cibernéticas.

Pesquisadores de cibersegurança identificaram uma nova variante do trojan bancário HOOK, que agora incorpora telas de sobreposição no estilo ransomware para extorquir vítimas. Essa variante é capaz de exibir uma tela de alerta em tela cheia, que apresenta uma mensagem alarmante de ‘AVISO’, juntamente com um endereço de carteira e um valor, ambos recuperados dinamicamente de um servidor de comando e controle (C2). O ataque é iniciado remotamente quando o comando ‘ransome’ é enviado pelo servidor C2, e o atacante pode remover a sobreposição com o comando ‘delete_ransome’.

Um relatório da Microsoft revelou que hackers estão utilizando uma versão modificada do aplicativo desktop do ChatGPT para disseminar um trojan de acesso remoto conhecido como Pipemagic. Este malware, desenvolvido pelo grupo de cibercriminosos Storm-2460, tem como alvo setores como imobiliário, financeiro e tecnológico em várias regiões, incluindo América do Sul, América do Norte, Europa e Oriente Médio. A gravidade da situação é acentuada pela combinação de um backdoor modular, que permite acesso direto aos sistemas comprometidos, e uma vulnerabilidade zero-day (CVE-2025-29824) no Windows, que ainda não possui correção. A Kaspersky também alertou sobre a campanha, destacando casos na Arábia Saudita e na Ásia. Os ataques podem resultar no vazamento de dados pessoais, credenciais e informações financeiras, além da instalação de ransomware que criptografa arquivos e exige pagamento para recuperação. A recomendação é que os usuários evitem baixar arquivos ou executar programas de fontes desconhecidas, especialmente aqueles que imitam softwares populares como o ChatGPT.

A Legacy Treatment Services, uma organização sem fins lucrativos de saúde comportamental em Nova Jersey, confirmou um vazamento de dados que afetou 41.826 indivíduos. O incidente, ocorrido entre 6 e 11 de outubro de 2024, comprometeu informações sensíveis, incluindo números de Seguro Social, dados de identificação, informações financeiras e registros médicos. O grupo de ransomware Interlock reivindicou a responsabilidade pelo ataque, alegando ter roubado 170 GB de dados, incluindo documentos internos e registros de pacientes. A Legacy não confirmou se um resgate foi pago e não divulgou detalhes sobre como a violação ocorreu. A organização está oferecendo proteção contra roubo de identidade para as vítimas afetadas até 20 de novembro de 2025. O ataque é parte de uma tendência crescente de ataques de ransomware no setor de saúde dos EUA, com 173 incidentes confirmados em 2024, comprometendo mais de 28 milhões de registros. A Legacy Treatment Services atende cerca de 20.000 pacientes anualmente, o que destaca a gravidade do impacto deste vazamento.

Um novo método de engenharia social, denominado ClickFix, está sendo utilizado por cibercriminosos para implantar ransomware através de resumos gerados por inteligência artificial (IA). Essa técnica envolve a injeção de comandos maliciosos em elementos HTML, que se tornam invisíveis para os usuários, mas são processados por modelos de IA. Os atacantes escondem instruções em caracteres de largura zero, texto branco sobre fundo branco e fontes minúsculas, fazendo com que os resumos gerados incluam guias passo a passo para a instalação de ransomware. Quando os destinatários confiam nesses resumos, podem executar comandos sem perceber que estão seguindo instruções maliciosas. O ataque reduz a barreira técnica para usuários não especializados, permitindo que eles se tornem vetores de ransomware. Para mitigar esses riscos, recomenda-se a sanitização de atributos CSS invisíveis, filtragem de prompts e reconhecimento de padrões de payload. À medida que as ferramentas de resumo de IA se tornam comuns, essa técnica pode ser rapidamente adotada por criminosos, exigindo uma colaboração entre desenvolvedores de IA e equipes de segurança para prevenir campanhas de ransomware mediadas por IA.

No cenário atual de cibersegurança, as soluções de Detecção e Resposta de Endpoint (EDR) se tornaram essenciais para proteger as organizações contra ameaças cibernéticas sofisticadas. O artigo destaca as dez melhores empresas de EDR em 2025, que se destacam por suas capacidades de monitoramento contínuo, análise avançada e resposta automatizada a incidentes. As soluções EDR vão além da proteção tradicional, utilizando inteligência artificial e aprendizado de máquina para detectar comportamentos anômalos e ameaças zero-day. Além disso, a arquitetura nativa em nuvem e a evolução para Detecção e Resposta Estendida (XDR) são tendências importantes no mercado. Entre as empresas mencionadas, CrowdStrike, Microsoft Defender e SentinelOne se destacam por suas inovações e eficácia na proteção de endpoints. A demanda por plataformas EDR robustas está crescendo, impulsionada pelo aumento de ataques de ransomware e crimes cibernéticos patrocinados por estados-nação. Para os CISOs brasileiros, a escolha de uma solução EDR adequada é crucial para garantir a segurança dos dados e a continuidade dos negócios.

Recentemente, o estúdio de design Nissan Creative Box, parte da rede global de design da montadora japonesa Nissan, foi alvo de um ataque de ransomware que resultou no roubo de mais de 4TB de dados sensíveis. O grupo de hackers Qilin, que se destacou por sua atividade em 2025, afirmou ter copiado mais de 400 mil arquivos, incluindo dados de design 3D, relatórios, fotos e vídeos relacionados a automóveis da Nissan. Os especialistas alertam que a divulgação desses dados pode prejudicar a competitividade da empresa, comparando o roubo a ‘furtar uma invenção de um inventor’. O grupo ameaçou liberar os dados se a Nissan não responder, o que poderia permitir que concorrentes tivessem acesso a informações detalhadas sobre projetos da empresa. Este incidente destaca a crescente ameaça de ransomware, com o Qilin tendo atacado quase 500 organizações no último ano, sendo 401 apenas em 2025. A situação levanta preocupações sobre a segurança de dados em um setor tão inovador e competitivo como o automotivo.

A empresa de recrutamento de TI The Computer Merchant confirmou que notificou 34.127 pessoas sobre uma violação de dados ocorrida em julho de 2024, que comprometeu nomes e números de Seguro Social. O grupo de ransomware Play reivindicou a responsabilidade pelo ataque, alegando ter roubado dados confidenciais, incluindo documentos de clientes, orçamentos, folhas de pagamento e contratos. A empresa não confirmou se pagou o resgate exigido, nem como a violação ocorreu, e levou mais de um ano para notificar algumas das vítimas. Em resposta ao incidente, a The Computer Merchant está oferecendo monitoramento de crédito gratuito e uma apólice de seguro de até US$ 1 milhão. O grupo Play, ativo desde junho de 2022, utiliza um modelo de dupla extorsão, exigindo pagamento tanto para a recuperação de sistemas quanto para evitar a divulgação dos dados roubados. Em 2024, foram registrados 854 ataques de ransomware nos EUA, comprometendo mais de 276,5 milhões de registros, e o Play já reivindicou 20 ataques confirmados em 2025. Este incidente destaca a crescente ameaça de ransomware e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Em uma operação coordenada pela INTERPOL, 1.209 cibercriminosos foram presos em 18 países africanos, com foco em crimes cibernéticos como ransomware e fraudes online. A operação, chamada de Serengeti 2.0, resultou na recuperação de US$ 97,4 milhões e na desarticulação de 11.432 infraestruturas maliciosas. Entre os destaques, estão a desativação de 25 centros de mineração de criptomoedas em Angola, onde 60 cidadãos chineses estavam envolvidos, e a interrupção de uma operação de fraude de investimento online na Zâmbia, que enganou 65.000 vítimas, resultando em perdas de cerca de US$ 300 milhões. Além disso, uma rede de fraude de herança transnacional originada na Alemanha foi desmantelada. A operação ressalta a necessidade urgente de cooperação internacional no combate ao cibercrime, que não respeita fronteiras. A INTERPOL enfatizou que a colaboração entre países é essencial para aumentar a eficácia das ações contra esse tipo de crime.

A Colt Technology Services, uma empresa de telecomunicações do Reino Unido, confirmou que dados sensíveis de seus clientes foram roubados em um recente ataque cibernético. O grupo de ransomware conhecido como Warlock reivindicou a responsabilidade pelo ataque e está leiloando um banco de dados com um milhão de arquivos na dark web por US$ 200.000. A empresa enfrentou interrupções em seus serviços, levando à necessidade de desativar partes de sua infraestrutura. A Colt está atualmente investigando a natureza exata dos dados comprometidos, que, segundo o Warlock, incluem informações financeiras, dados de arquitetura de rede e informações de clientes. A situação representa um risco significativo para os clientes, pois esses dados podem ser utilizados para fraudes, phishing e roubo de identidade. A Colt disponibilizou um canal para que os clientes solicitem uma lista dos arquivos expostos na dark web. Especialistas acreditam que o ataque pode ter sido direcionado a servidores SharePoint da empresa, que têm se mostrado alvos atraentes para hackers. Após o ataque, a Colt implementou medidas de segurança adicionais, como firewalls, para proteger seus servidores.

O Aspire Rural Health System, localizado em Michigan, está notificando 138.386 pessoas sobre uma violação de dados resultante de um ataque cibernético que começou em novembro de 2024 e foi descoberto em janeiro de 2025. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, que comprometeu informações sensíveis, incluindo nomes, datas de nascimento, números de Seguro Social, informações financeiras, dados médicos e muito mais. A violação foi detectada após uma interrupção técnica em 6 de janeiro de 2025, e as investigações continuaram até julho de 2025. Os indivíduos afetados estão sendo oferecidos serviços gratuitos de monitoramento de crédito, especialmente aqueles cujos números de Seguro Social foram comprometidos. Este incidente destaca a crescente ameaça de ataques de ransomware no setor de saúde, que já sofreu 171 ataques em 2024, afetando cerca de 28,4 milhões de registros. O grupo BianLian, ativo desde 2021, já foi responsável por 88 ataques, com um foco significativo em empresas de saúde, o que levanta preocupações sobre a segurança de dados nesse setor crítico.

O Distrito Escolar do Condado de Muscogee, na Geórgia, notificou 34.056 pessoas sobre um vazamento de dados ocorrido em dezembro de 2024, que comprometeu nomes, números de Seguro Social e dados bancários de funcionários atuais e antigos. O grupo de ransomware SafePay reivindicou a responsabilidade pelo ataque em janeiro de 2025, alegando ter roubado 382 GB de dados da instituição. Embora a escola tenha começado a emitir notificações sobre o vazamento em fevereiro de 2025, não foi revelado se um resgate foi pago ou como a rede foi comprometida. SafePay, que utiliza um esquema de dupla extorsão, já atacou diversas instituições educacionais e é responsável por 35 ataques confirmados. Em 2024, foram registrados 83 ataques de ransomware em escolas dos EUA, comprometendo mais de 3 milhões de registros, com o ataque ao Distrito Escolar do Condado de Muscogee sendo o décimo maior em termos de dados comprometidos. A escola está oferecendo monitoramento de crédito gratuito e restauração de identidade para as vítimas afetadas.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético à Inotiv, uma empresa de pesquisa farmacêutica conhecida por testes em animais, ocorrido em agosto de 2025. Em um comunicado à SEC, a Inotiv informou que partes de seus sistemas foram criptografadas, resultando em interrupções no acesso a redes e aplicações internas. Qilin alegou ter roubado 176 GB de dados durante o ataque e publicou imagens de documentos que afirma serem da Inotiv. A empresa não confirmou as alegações do grupo, e detalhes sobre o valor do resgate ou como os atacantes conseguiram acesso à rede ainda não foram divulgados. O ataque pode ter consequências severas, incluindo a possibilidade de rescisões contratuais e multas que podem ultrapassar centenas de milhões de dólares, afetando gravemente a reputação da Inotiv. O incidente é parte de uma tendência crescente de ataques de ransomware, especialmente em empresas de saúde nos EUA, onde já foram registrados vários ataques que comprometeram milhões de registros. A Inotiv continua a restaurar seus sistemas e investigar o alcance do ataque.

Um novo grupo de ransomware, chamado Crypto24, tem se destacado por sua habilidade em contornar soluções antivírus e sistemas de detecção de endpoint (EDR). De acordo com um relatório da Trend Micro, o Crypto24 utiliza ferramentas administrativas legítimas e malwares personalizados para realizar ataques direcionados a grandes organizações, especialmente nos setores financeiro, manufatura, entretenimento e tecnologia. O ataque começa com a infiltração nos sistemas-alvo, onde os atacantes criam contas administrativas e utilizam comandos nativos do Windows para estabelecer pontos de entrada persistentes. Uma das características mais preocupantes do Crypto24 é sua capacidade de ‘cegar’ soluções de segurança, utilizando uma versão modificada da ferramenta RealBlindingEDR para desativar mecanismos de detecção de quase 30 fornecedores de segurança. O grupo não apenas criptografa dados, mas também exfiltra informações críticas, utilizando um keylogger disfarçado para capturar dados sensíveis. A exfiltração é realizada através do Google Drive, o que reduz a suspeita. Para se proteger, as organizações devem adotar o princípio de privilégio mínimo, monitorar o uso de ferramentas de acesso remoto e implementar detecções comportamentais.

A Microsoft Threat Intelligence revelou uma campanha de malware sofisticada, onde criminosos cibernéticos disfarçam um software malicioso como a popular aplicação de desktop ChatGPT para implantar ransomware em diversos setores ao redor do mundo. O malware, denominado PipeMagic, combina engenharia social com capacidades técnicas avançadas, visando organizações nos setores de TI, financeiro e imobiliário, especialmente nos Estados Unidos, Europa, América do Sul e Oriente Médio.

O PipeMagic explora uma vulnerabilidade crítica do Windows (CVE-2025-29824) para obter privilégios elevados. Os atacantes utilizam a ferramenta certutil para baixar arquivos MSBuild maliciosos de sites legítimos previamente comprometidos. Esses arquivos parecem ser a aplicação ChatGPT, mas contêm código malicioso que ativa o PipeMagic diretamente na memória, dificultando a detecção.

A Optima Tax Relief notificou 3.114 indivíduos sobre um vazamento de dados ocorrido em maio de 2025, que comprometeu números de Seguro Social e dados financeiros. O grupo de ransomware Chaos reivindicou a responsabilidade pelo ataque, alegando ter roubado 69 GB de informações. Embora a Optima tenha identificado atividade incomum em sua rede no dia 1º de maio, a empresa não confirmou se pagou um resgate ou como os atacantes conseguiram acessar seu sistema. A investigação revelou que um acesso não autorizado ocorreu entre 1º e 6 de maio de 2025, resultando no download de arquivos sensíveis. Para mitigar os danos, a Optima está oferecendo um ano de monitoramento de identidade gratuito aos afetados. O grupo Chaos, ativo desde 2021, utiliza táticas de extorsão dupla, atacando tanto indivíduos quanto organizações. Até agora, foram registradas 22 invasões confirmadas a instituições financeiras nos EUA em 2025, com mais de 167.000 registros comprometidos. O incidente destaca a crescente ameaça de ransomware no setor financeiro e a necessidade de vigilância constante contra tais ataques.